De software-update die antivirusbedrijf McAfee op 21 april uitbracht, en die per abuis een essentieel Windows-systeembestand uitschakelt, is voorlopig alleen handmatig te herstellen. Dat zegt beveiligingsadviseur Bart Schultink van ‘McAfee-specialist’ Medusoft. McAfee kwam vrijdag wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. De fabrikant zoekt organisaties die de tool willen testen.
De adviseur legt uit wat momenteel het probleem is: ‘Machines die zijn beschadigd door de update blijven maar herstarten. Dat maakt het heel moeilijk om ze vanuit het netwerk te repareren. Vaak is er niet genoeg tijd om het herstelbestand uit te voeren. Met gespecialiseerde beheersoftware van bijvoorbeeld Altiris is wel een deel van de machines op afstand te repareren.’
Maar dan nog is een deel van de machines momenteel niet op afstand te reparerwn. ‘Systeembeheerders moeten deze machines allemaal een bezoekje brengen, een DOS-venster openen en het rebooten onderbreken met het commando ‘shutdown -a’. Vervolgens draait de beheerder het herstelbestand van McAfee, dat het Windows-systeembestand svchost.exe terugzet, en de virusdefinitie van het w32/wecorl.a-virus zodanig aanpast, dat het svchost.exe niet meer onschadelijk maakt.’
Alleen Windows XP SP3-machine vatbaar
Een batch-bestand uitrollen dat hetzelfde doet vanuit het netwerk werkt niet, want de timing is essentieel. ‘De pc’s die de problemen vertonen, laten een aftelvenster zien, dat zestig seconden aftelt. Vanuit het netwerk is dat niet zichtbaar.’
Volgens Schultink zijn alleen Windows XP SP3-machines vatbaar voor het probleem. ‘Dat heeft te maken met de hash value van het bestand. Die is voor XP SP3 net iets anders, waardoor de McAfee-update het systeembestand aanzag voor een virus.’
Testronde
McAfee kwam vrijdag wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. ‘McAfee zoekt kandidaten om de tool te testen’ zegt verkoopdirecteur Erik Remmelzwaal. ‘Klanten mogen ons aanschrijven (support@medusoft.eu), om aan deze testronde deel te nemen.’